Nomad Bridge는 190억 XNUMX천만 달러 이상의 습격을 받았습니다.

Cross-chain bridge Nomad Bridge는 해커와…

다른 블록체인 간의 상호 작용을 가능하게 하는 프로토콜인 Nomad Bridge가 이번 주에 해킹되었습니다. 해커가 취약점을 악용 교량을 파괴하고 190억 XNUMX천만 달러 이상의 자산을 훔쳤습니다.

사건의 영향을 받은 자산은 WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GRO, CARDS, SDL 및 C3입니다. Nomad는 Axie Infinity 및 Horizon에 이어 주요 공격을 받고 있는 불운한 다리 목록에 포함될 다음 이름입니다.

Nomad Bridge가 맞았습니다 – 큰 방법으로

첫 번째 의심스러운 거래는 해커가 브리지에서 2만 달러에 해당하는 100개의 래핑된 비트코인(WBTC)을 전송하려고 시도한 2.3월 XNUMX일에 이루어졌습니다.

추가 악용 가능성에 대한 문제를 발견한 기회주의자들은 허점을 이용하여 해커의 거래 정보를 복제하고 원래 주소를 자신의 주소로 변경하고 성공적으로 돈을 인출했습니다.

이 시간의 익스플로잇은 복제하기 쉽기 때문에 이것이 가장 빠르고 가장 혼란스러운 공격인 이유를 설명합니다.

프로젝트의 Discord에 있는 사람은 공격자의 첫 번째 거래를 복사하고 주소를 변경한 다음 Etherscan을 통해 보내기를 누르면 txid당 천 달러를 무작위로 받을 수 있습니다.

어떻게 그런 일이 일어날 수 있겠습니까?

사건이 아직 조사 중이기 때문에 해킹 된 프로젝트는 더 이상의 설명을 제공하지 않습니다. 그러나 일부 암호화 연구원과 전문가는 실행 가능한 답변을 제시했습니다.

서부 금융

패러다임 연구원 Sam Sun에 따르면 이 취약점은 XNUMX월 초 스마트 계약 감사 부서인 Quantstamp가 Nomad에 발견하고 보고한 또 다른 버그에서 비롯됩니다.

프로젝트는 다른 문제를 해결했지만 그 과정에서 루트 0x000…으로 변경되어 결과적으로 반향이 발생했습니다.

각 거래는 유효한지 확인하기 위해 검증(확인) 단계를 거칩니다. 그리고 이 검증에는 Root가 필요하지만 개발자는 이를 0x00으로 남겨두었고 이 Root 식별 코드는 모든 트랜잭션이 유효한지 자동으로 확인합니다.

Nomad 팀은 Nomad 토큰 브리지 관련 이벤트에 대해 알게 된 지 얼마 되지 않아 경고를 발표했습니다.

Nomad 공식 트위터 스레드에 따르면 공격 후 Nomad 다리가 폐쇄되었습니다. 팀은 사건을 더 조사하기 위해 법 집행 기관과 협력하고 있다고 말했습니다.

재치,

“우리는 Nomad로 가장하고 자금을 모으기 위해 사기 주소를 제공하는 사칭자를 알고 있습니다. 브리지 펀드 반환에 대한 지침은 아직 제공하지 않습니다. Nomad의 공식 채널인 @nomadxyz_ 이외의 모든 채널의 통신은 무시하세요.”

유목민은 좋은 아이디어입니다

Nomad는 Nomad의 메시징 시스템을 통해 Avalanche(AVAX), Ethereum(ETH), Evmos(EVMOS), Milkomeda C1 및 Moonbeam(GLMR)과 같은 서로 다른 블록체인 간의 토큰 전송을 허용하는 다리입니다.

이 프로토콜은 광범위한 응용 가능성을 가지고 있으며 크로스 체인 앱을 개발하는 데 사용할 수 있습니다.

Nomad는 최근 22월에 Polychain이 주도하는 시드 펀딩에서 Coinbase Ventures, OpenSea 및 225개의 다른 주요 업체를 포함한 업계 최고의 인물로부터 XNUMX만 달러를 성공적으로 모금했다고 밝혔습니다. 이 자금은 회사 가치를 XNUMX억 XNUMX만 달러로 최고가를 기록했습니다.

2021년의 교차 체인 교량에 대한 공격과 비교하여 올해 이러한 공격은 교차 체인 교량의 연결 특성으로 인해 프로젝트 자체, VC 및 교량과 관련된 프로젝트에 심각한 피해를 입혔습니다.

블록체인이 분산되어 있다는 사실은 방어를 더 쉽게 만듭니다. 하지만 프로토콜과 소프트웨어는 모두 사람이 만든 것이기 때문에 약점이 있을 수 있습니다.

최근 공격은 실제로 블록체인 플랫폼 자체를 겨냥한 것이 아닙니다. 대신 응용 프로그램을 목표로합니다. 게임처럼, 지갑, 교환, 및 교량.

이들은 블록체인을 사용하는 웹 및 모바일 앱이지만 여전히 웹 및 모바일 앱이기 때문에 기존 소프트웨어와 동일한 보안 결함이 있습니다.

연초부터 웜홀(Wormhole), 로닌(Ronin), 호라이즌(Horizon), 노매드(Nomad) 등 100개의 교차 사슬 다리가 해킹당했다. XNUMX억 달러 미만의 손실은 없습니다.

Cross-chain Bridge는 블록체인 상호 운용성을 개선하여 블록체인 사용자와 개발자에게 더 나은 경험을 제공합니다. 그러나 특정 취약점으로 인해 이러한 브리지는 최근 공격자에게 인기 있는 대상이 되었습니다.